6
Mikrotik DoT bzw. DNS over HTTPS
Guten Abend,
mich interessiert Eure Meinung zu Verschlüsselung der DNS-Anfragen (Sinn/Unsinn, Erfahrungen, Probleme, Nutzen).
Und ob es jemand erfolgreich auf RouterOS umgesetzt hat.
So wie ich es sehe, wir DoT noch nicht unterstützt; statt dessen DNS over HTTPS.
Ich freue mich auf eine hoffentlich lebhafte Diskussion
.
mich interessiert Eure Meinung zu Verschlüsselung der DNS-Anfragen (Sinn/Unsinn, Erfahrungen, Probleme, Nutzen).
Und ob es jemand erfolgreich auf RouterOS umgesetzt hat.
So wie ich es sehe, wir DoT noch nicht unterstützt; statt dessen DNS over HTTPS.
Ich freue mich auf eine hoffentlich lebhafte Diskussion
.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1685836217
Url: https://administrator.de/contentid/1685836217
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
6 Kommentare
Neuester Kommentar
DoH auf Mikrotik-Devices ist nach meiner Erfahrung noch in den Kinderschuhen, damit kommt es dort immer wieder mal zu einem Memory-Leak (also Speicher füllt sich bis er irgendwann voll ist). Lässt sich im Mikrotik Forum auch diesbezüglich immer wieder nachlesen.
Ich halte verschlüsseltes DNS für absoluten Quatsch. Keine Ahnung wie man auf sowas kommt. Das hat praktisch nur Nachteile.
Der Otto wird halt die Alte Leier aus dem Keller holen: "Verschlüsselung macht es sicherer!" Blödsinn. Aber Verschlüsselung... das Buzzword klingt halt auf den ersten Blick gut.
Verschlüsseltes DNS führt zu einer zentralisierung des Internets.
Ein Traum für Nachrichtendienste.
Jetzt können zwar keine Angreifer mehr sehen, was in meinen DNS-Anfragen steht, aber nun hat eben ein anderer grosser Tech-Konzern Zugriff drauf, toll! Es gibt auch noch zwei, drei andere Möglichkeiten, wie man rausfinden kann, auf welcher Website du warst. Davor schützt dich verschlüsseltes DNS also nicht. Meiner Meinung nach vermittelt es ein falsches Gefühl von Sicherheit.
DNS wurde dafür konzipiert dezentral zu sein, nicht zentralisiert.
Nutzt lieber DNSSEC, um die Integrität und Authentizität der Einträge zu gewährleisten.
Übrigens: Wenn man DNSSEC nicht validiert, ist es nutzlos.
Der Otto wird halt die Alte Leier aus dem Keller holen: "Verschlüsselung macht es sicherer!" Blödsinn. Aber Verschlüsselung... das Buzzword klingt halt auf den ersten Blick gut.
Verschlüsseltes DNS führt zu einer zentralisierung des Internets.
Ein Traum für Nachrichtendienste.
Jetzt können zwar keine Angreifer mehr sehen, was in meinen DNS-Anfragen steht, aber nun hat eben ein anderer grosser Tech-Konzern Zugriff drauf, toll! Es gibt auch noch zwei, drei andere Möglichkeiten, wie man rausfinden kann, auf welcher Website du warst. Davor schützt dich verschlüsseltes DNS also nicht. Meiner Meinung nach vermittelt es ein falsches Gefühl von Sicherheit.
DNS wurde dafür konzipiert dezentral zu sein, nicht zentralisiert.
Nutzt lieber DNSSEC, um die Integrität und Authentizität der Einträge zu gewährleisten.
Übrigens: Wenn man DNSSEC nicht validiert, ist es nutzlos.
Gilt das denn auch wenn man einen Provider DNS benutzt? Die Telekom bietet heuer die Möglichkeit, deren DNS via DoT zu benutzen.
Ich dachte nicht daran, einen mehr oder weniger öffentlichen Server à la Cloudfare oder Google zu benutzen.
Ich denke eher an den Aspekt der Man in the Middle Attacke bzw. manipulierte DNS Einträge zu vermeiden.
Ich dachte nicht daran, einen mehr oder weniger öffentlichen Server à la Cloudfare oder Google zu benutzen.
Ich denke eher an den Aspekt der Man in the Middle Attacke bzw. manipulierte DNS Einträge zu vermeiden.
Gilt das denn auch wenn man einen Provider DNS benutzt?
Wenn jeder Internetnutzer den DoH-Resolver seines ISPs verwenden würde, dann kaum.
Es ist auf jeden Fall besser als Clownflare oder Goolag zu verwenden. Diese bilden nämlich einen sogenannten SPOF (Single Point of Failure). 25% des Webs ist bereits ein SPOF, da viele Admins Clownflare oder ähnliches einsetzen, weil sie selbst nicht in der Lage sind, ihre Server abzusichern und dafür teures Schlangenöl kaufen. Ein verzweifelter Versuch seine eigene Inkompetenz zu vertuschen. Die meinen sie wären sicher und dabei ist Clownflare der grösste MITM im Web.
Ein SPOF gefährdet die Verfügbarkeit -> Im Falle eines Vorfalls kommt es wie es kommen muss: Denial of Service.
Und jetzt kommen ganze scharen und wollen Clownflare als DNS nutzen. Für die Zukunft unseres Internes sehe ich so schwarz. Wir sollten uns alle mal Gedanken darüber machen, wie es weiter geht. Eine äusserst gefährliche Entwicklung wie ich finde. Sagt nicht, es hätte euch niemand gewarnt.
Ich dachte nicht daran, einen mehr oder weniger öffentlichen Server à la Cloudfare oder Google zu benutzen.
Sehr gut. Viele Menschen fallen auf den Honigtopf rein. Ich gratuliere dir!
Ich denke eher an den Aspekt der Man in the Middle Attacke bzw. manipulierte DNS Einträge zu vermeiden.
Ich sehe da nur eine Verschiebung des Problems. Wie schützt denn der ISP sich vor MITM-Angriffen auf DNS? Die kochen auch nur mit Wasser. Wieso fürchtest du dich vor MITM-Angriffen auf DNS? Was stellst du dir vor, wenn bei dir jemand deine DNS-Anfragen mitmn würde?
An alle Admins: Aktiviert endlich mal DNSSEC und IPv6 für eure Domains, dann bräuchte man auch nicht solche halbfertigen Zwischenlösungen wie DoH.
1
Wenn's das denn war bitte dann nicht vergessen den Thread auch zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
